日本の企業も狙われる「標的型攻撃」とは？

　特定の企業や社員を狙った「標的型攻撃」が増えてきている。大規模な活動ではないので目立たないが、情報漏えいにつながる危険性がある。企業や個人の情報を盗み取る「標的型攻撃」とは、どんなものなのだろうか？（テクニカルライター・三上洋）

IPAによる「標的型攻撃に関する調査研究」

　情報処理推進機構（IPA）が、「近年の標的型攻撃に関する調査研究」という調査報告書を公開した。「標的型攻撃」とは、その名の通り特定のターゲットを狙う攻撃のこと。話題になるウイルスの多くは、ネット全体を揺るがす攻撃、または大量感染を狙う攻撃だが、標的型攻撃はもっと狭く特定のターゲットに絞っている。

　たとえば大手企業の社員、有名企業の幹部クラス、個人1人だけを狙うといった攻撃だ。「スピア型攻撃」とも呼ばれ、企業の内部情報を盗み取ったり、個人のクレジットカード番号やオンラインゲームのアカウント乗っ取りなどが目的のようだ。大規模な攻撃ではないだけに話題にはあまりならないが、日本のユーザーを狙ったものが増えている。

パワーポイント、一太郎、圧縮ファイルを添付

　標的型攻撃では企業の内部情報を盗み取るために、企業内のパソコンを狙っている。しかし企業内のパソコンはインターネットに直接接続しているわけではなく、社内だけに限定したネットワーク（イントラネット）につながっている。そのためインターネットからの直接攻撃はできず、メールの添付ファイルを使ってマルウェア（悪意のあるソフトウェア）に感染させる場合が多い。

　問題はどんな添付ファイルなのか？ということ。「知らない人からのメール添付ファイルはダブルクリックしない」とされているのに、なぜ感染する人が出てしまうのだろうか。それは多くの人が安全だと思い込んでいるファイル形式を使っているからだ。

　IPAの調査報告書によれば、標的型攻撃で悪用された添付ファイルには以下のようなものがある。

・マイクロソフト　ワード

・マイクロソフト　パワーポイント

・マイクロソフト　エクセル

・一太郎

・解凍ソフト系（Lhaz、WinRAR）

　企業でよく使われるファイル形式が多く、特にワードやパワーポイントは毎日のように使っているだろう。いずれも脆弱性（欠陥や攻撃されやすい問題点のこと）を狙ったもので、対策なしの状態でクリックするとマルウェアに感染してしまう。

　また日本でよく使われている「一太郎」や、解凍ソフトの「Lhaz」が含まれていることにも注目したい。ワードやエクセルは世界的に使われているが、一太郎やLhazは日本語ユーザーが大半だ。日本のユーザーを狙った標的型攻撃なのだ。

　あなたは一太郎の文書ファイルに危険性があることを知っていただろうか？　また圧縮ファイルを元に戻すための解凍ソフトに危険性があることは知っていただろうか？　マイクロソフトオフィスであれば、過去に様々な問題点があったので警戒している人が多いだろうが、一太郎や解凍ソフトは見逃されやすい。安易にクリックして感染してしまい、企業の内部情報を盗まれている可能性がある。

複雑な行動で対策・解析を阻止する

最近の標的型攻撃では、このような多段型のマルウェア（シーケンシャルマルウェア）が主流となっている（IPA・情報処理推進機構の発表資料による）

　IPAの調査報告書によれば、標的型攻撃の方法が以前よりも複雑化している。たとえば右の図のように複雑な手順による多段型のマルウェア（シーケンシャルマルウェア）が増えている。

　まず犯人は上で紹介したような添付ファイル付きのメールを送る。被害者が添付ファイルをダブルクリックしてしまうと、脆弱性を突かれて「ダウンローダ」と呼ばれるマルウェアに感染する。ダウンローダとは感染パソコンに常駐し、外部からソフトを勝手に入手・導入してしまうマルウェアのこと。以前の記事安全なはずのサイトでウイルス感染？でも取り上げたが、犯人が被害者のパソコンにマルウェアを仕込むためのツールとして利用されている。スパイを忍び込ませるための導入役にあたるものだ。

　このダウンローダーは、マルウェアを被害者のパソコンに強制導入させる。キーボードの入力を記録するキーロガー、個人情報を盗み取るマルウェアなどが仕込まれてしまうのだ。これらのマルウェアは特殊なパターンが多く、ウイルス対策ソフトでは検知できないものもある。このように直接的にマルウェアに感染させるのではなく、何段階もの手段を経て個人情報や企業の内部情報を盗み取るパターンが主流となっている。

　また一部のマルウェアは、ダウンローダされる度にコードを変更するなどの偽装を行っている。そのため自動的な解析ではすり抜けてしまうこともあるそうだ。検知・駆除されないように様々な悪知恵を使っている。

安易にクリックしない・外部ポート遮断

　これらの標的型攻撃に対して、IPAでは2つの対策を勧めている。1つは企業のネットワーク担当者に向けたもので、不要な外向きポート（TCPポート：データの出入り口の1つ）を閉じること。攻撃者が用意している外部サーバとの通信を遮断すれば、標的型攻撃での感染を防ぐことができるからだ。

　もう一つは、当たり前のことながら「添付ファイルは安易に開けない」ことだ。特に企業でよく使われるファイルが狙われているので、マイクロソフトワード・エクセル・パワーポイントの添付ファイルに注意。さらに日本を狙った攻撃が増えているため、一太郎や解凍ソフトにも注意したい。ZIP形式やLHA形式のファイルを開くだけで感染する可能性があるので、安易にクリックしてはダメだ。

　具体的な対策としては、まず利用しているアプリケーションソフトを最新版にすること。一太郎や解凍ソフトなどは、脆弱性を直した最新バージョンを使おう。また知らない人からのメールに警戒するだけでなく、知人からのメールにも注意したい。知人が感染してしまえば、あなたあてに危険な添付ファイル付きのメールが届く可能性があるからだ。個人情報・企業の内部情報を守るために、あらためてセキュリティ対策を見直したい。

参考：近年の標的型攻撃に関する調査研究−調査報告書−（独立行政法人 情報処理推進機構　セキュリティセンター）　http://www.ipa.go.jp/security/fy19/reports/sequential/index.html